[10.7 Lion] Sicherheit :: Festplattenverschlüsselung (FileVault) Sicherheitsproblematik

[SilentCry]

Liebe Freunde der gepflegten Paranoia,
ich habe auf einer Testmaschine soeben Lion ausprobiert. Vor allem, um die eingebaute Festplattenverschlüsselung (Full Disk Encryption (FDE), Pre Boot Authentication (PBA) mit Pre Boot Environment (PBE)) zu sehen.
Mir ist klar, dass das AES128 ist und dass AES128 tatsächlich "nur" noch AES126 ist (klick).
Mir ist auch klar dass dank des Frozen RAM-Attacke (cold boot attacke) ein SW-FDE nur bedingt (also z.B. beim Mac Book Air) einsetzbar ist [0]

Aber das Hauptproblem ist ein anderes:
Offensichtlich wird folgendes gemacht:
Ein Verschlüsselungskey (VK) wird generiert. Dieser VK wird mit dem Benutzerpasswort (!) verschlüsselt und im PBE verschlüsselt abgelegt.
Und das wird pro User gemacht.
Nun werden sich unbedarfte Leute fragen, wo denn das Problem liegt. Nun, liebe Freunde, Userpassworte sind nie besonders lang. Solange man keine Brute Force auf den Hashwert fahren kann (was man bei lokal gespeicherten Systemen mit FDE nicht kann) müssen sie auch nicht besonders lang sein. Passworte für FDE, die auch gerne deswegen Pass_phrases_ genannt werden, sind aber -zig Zeichen lang. Man gibt sie ja auch nur beim Booten einmal ein. Das Userpasswort respektive das Admin-Pwd gibt man aber alle Nase lang im OS X ein. Änderung der Einstellungen, Installation eines Programms, Bildschirmschoner bei Kaffeepause, etc.
Jedesmal 40-50 Zeichen? Bravo. Macht keiner; wer gibt dutzende Male am Tag eine Passphrase dieser Länge ein, z.B.
DWadMli4*sswdRkmiAzd7ZdiWhhas100BlAK47
("Der Weise aus dem Morgen land ist 4 MAL so schlau wie das Rot käppchen mit ihrer Affinität zu den 7 Zwergen die in Wahrheit hinter Hundert also sprich 100 Bergen lebten AK47")
Stellt Euch vor, _das_ müsst Ihr 25x am Tag eingeben.

Verliert man nun eine so gesicherte Maschine so ist es sehr wahrscheinlich, dass ein kurzes Passwort (z.B. linde11) zur Verschlüsselung des VK verwendet wurde, das ggf. mit Brute Force in vernünftiger Zeit überwunden werden kann.


[0] Achtung: Ich kann nicht bestätigen oder widerlegen dass modernes RAM mit einer Taktung größer 1 Ghz für diese Art des Angriffs überhaupt noch anfällig ist. Anfragen an die Hacker, die dieses Attacke durchgeführt haben, blieben unbeantwortet.
btw: Es ist nur der Einfachheit halber immer vom "Reboot der Maschine" die Rede. Tatsächlich wird die Attacke aber so ausgeführt werden dass die Neofaschisten das RAM im Computer abkühlen, ausbauen und ein Speicherabbild aus dem "geeisten" RAM erstellen, das dann analysiert werden kann. Ein Absichern des Rechners gegen Reboot von externen Medien wird also die NeuGeStaSiPo nicht bremsen.

 

[Ragnir]

Auch, wenn ich die politische Referenz nicht nachvollziehen kann, finde ich es super, dass mal jemand die mitgelieferte FDE-Lösung unter die Lupe nimmt. Bei Apple kann ich mir nämlich wirklich gut vorstellen, dass zugunsten einfacherer Bedienung auf ein Mehr an Sicherheit verzichtet wird.

Das verlinkte Video ist übrigens auch höchst interessant. Ich bin ja mal gespannt, ob die SEK-Beamten beim nächsten Raid eines 15-jährigen Hackers die Wohnung mit Eisspray statt MP5 in Händen stürmen.

 

[David X]

Naja, die Benutzung eines sicheren Kennworts empfiehlt Apple in den entsprechenden Dokumenten zu FileVault 2 ausdrücklich. Wer sich nicht daran hält, kann dann wohl kaum die Schuld bei Apple suchen. Mein Kennwort z.B. enthält 22 Zeichen (Groß- und Kleinschreibung, Ziffern und Sonderzeichen) und erhält hier 100 von 100 möglichen Punkten. Und ja, ich tippe das jedes mal bei oben genannten Aufgaben ein.

 

[Ragnir]

David,

das stimmt natürlich. Aber die Art der Implementierung hat ja auch einen gewissen Einfluss, man kann es dem Anwender leicht oder schwer machen.

Ein kleines Beispiel: Ich nutze ein ewig langes Passwort à la SilentCry für 1Password, dass ich nur einmal beim Start eingeben muss. Würde ich bei jedem einzelnen Login gefragt, hätte ich es schon auf 123 geändert.

Im Fall von OS X wäre es z.B. elegant, ein extrem sicheres Passwort zum Booten eingeben zu müssen und für die Erteilung von Admin-Rechten für Installationen etc. auf ein kürzeres zurückgreifen zu können.

 

[David X]

Das geht doch. Zuerst erstellst Du vor der Aktivierung von FileVault2 zwei Admin-Accounts. Bei der Aktivierung von FileVault verknüpfst Du dann nur den Admin-Account mit dem sichereren Kennwort. Dann bootest Du mit diesem Admin-Kennwort und meldest Dich dann wieder von diesem ab und meldest Dich mit dem 2. Admin-Account oder einem x-beliebigen Benutzer wieder an. Wenn Du dann bei Installationen oder der Veränderung von Systemeinstellungen nach einem Admin-Account und Kennwort gefragt wirst, nimmst Du einfach den mit dem kürzeren Kennwort.

 

[naich]

Solange man keine Brute Force auf den Hashwert fahren kann (was man bei lokal gespeicherten Systemen mit FDE nicht kann) müssen sie auch nicht besonders lang sein. Passworte für FDE, die auch gerne deswegen Pass_phrases_ genannt werden, sind aber -zig Zeichen lang....

Ich kann diesen Gedankengang gerade nicht nachvollziehen. Was sind "lokal gespeicherten Systemen mit FDE" und wieso kann man dort keinen Brute Force-Angriff fahren - im Gegensatz zum "normalen" System?

Ich weiß nicht wie der aktuelle Stand mit Rainbow-Tables hier ist, aber soweit ich weiß ist nicht umbedingt ein 50 Zeichen Passwort nötig. Ein "normal sicheres" Passwort mit Sonderzeichen / Klein-Großschreibung usw. und 10 - 15 Zeichen sollte doch auch nicht so schnell durch Brute Force zu knacken sein.

Auch wenn die Wahl des User-Passwort hier vielleicht nicht sicherheitstechnisch optimal ist, finde ich es durchaus besser. So können mehrere User sich mit dem eigenen Passwort einloggen. Wie würde wohl ein zusätzliches Passwort für die Verschlüsselung aussehen, wenn das User-PW schon einfach ist und sie sich noch ein neues PW merken müssen?! Entweder das neue PW wird auch einfach, oder es wird irgendwo notiert, wo es ein Angreifer evt. auch findet.

 

[ImperatoR]

Yubikey. Eine Ein-Knopf-Tastatur, die auf diesen Knopfdruck ein ellenlanges Passwort ausspucken kann — plattformunabhängig, da als normale Tastatur erkannt.

 

[Ragnir]

David,

Du bist mein Held!

Geniale Idee mit den beiden Accounts. Manchmal sieht man den Wald vor lauter Bäumen nicht.

 

[SilentCry]

Das geht doch. Zuerst erstellst Du vor der Aktivierung von FileVault2 zwei Admin-Accounts. Bei der Aktivierung von FileVault verknüpfst Du dann nur den Admin-Account mit dem sichereren Kennwort. Dann bootest Du mit diesem Admin-Kennwort und meldest Dich dann wieder von diesem ab und meldest Dich mit dem 2. Admin-Account oder einem x-beliebigen Benutzer wieder an. Wenn Du dann bei Installationen oder der Veränderung von Systemeinstellungen nach einem Admin-Account und Kennwort gefragt wirst, nimmst Du einfach den mit dem kürzeren Kennwort.

Ich versteh's nicht.
Sobald du einen Benutzer (wurscht ob Admin oder nicht) mit einem kurzen Passwort im System hast verschlüsselt Lion das Masterkennwort mit dem Passwort. Deinen Trick, den "kurzpasswortigen" Admin _vorher_ anzulegen und FileVault dann mit einem zweiten langpasswortigen Admin zu machen, müsste ich mit einer Neuinstallation mal ausprobieren. Mal sehen, ob ich heute oder morgen dazu komme. Ich denke nicht, dass das hilft, Lion wird auch bestehende Accounts ins FileVault einbinden.

Ich kann diesen Gedankengang gerade nicht nachvollziehen. Was sind "lokal gespeicherten Systemen mit FDE" und wieso kann man dort keinen Brute Force-Angriff fahren - im Gegensatz zum "normalen" System?

Es gibt im OS X eine passwd-Datei, die die hashes der Passwörter enthält. Ist das Bootlaufwerk also zugänglich, dann kann man einen Brute Force-Angriff auf diese Datei fahren. Ist das Bootlaifwerk aber durch FDE geschützt, ist auch die passwd-Datei geschützt. (Vermutlich heißt sie nicht mehr passwd aber ich bin zu faul, nachzuschauen.)

Ich weiß nicht wie der aktuelle Stand mit Rainbow-Tables hier ist, aber soweit ich weiß ist nicht umbedingt ein 50 Zeichen Passwort nötig. Ein "normal sicheres" Passwort mit Sonderzeichen / Klein-Großschreibung usw. und 10 - 15 Zeichen sollte doch auch nicht so schnell durch Brute Force zu knacken sein.

Schau mal hier: KLICK. Der geht von einem aktuellen PC aus. Von _einem_. Ich bin sicher, die Rechenleistung der Organisationen, vor denen man sich als unbescholtener Bürger wirklich fürchten muss, (niemand hat so ein perverses Interesse an den Daten des harmlosesten Menschen als ein Überwachungsstaat) sind um viele Zehnerpotenzen stärker.

Angesichts dessen halte ich selbst ein 10-Zeichen-PWD nicht mehr für sicher, wenn man einen systematischen Brute Force-Angriff ermöglicht, das knackt die NeuGeStaSiPo vermutlich in wenigen Monaten.

Auch wenn die Wahl des User-Passwort hier vielleicht nicht sicherheitstechnisch optimal ist, finde ich es durchaus besser. So können mehrere User sich mit dem eigenen Passwort einloggen. Wie würde wohl ein zusätzliches Passwort für die Verschlüsselung aussehen, wenn das User-PW schon einfach ist und sie sich noch ein neues PW merken müssen?! Entweder das neue PW wird auch einfach, oder es wird irgendwo notiert, wo es ein Angreifer evt. auch findet.

Nun, in meinem Umfeld (Firma wie privat) ist es so: Ein Rechner: Ein Anwender. Ich kenne übrigens keine Firma, in der es am Desktop mehrere Anwender gibt, du?
Wäre es unbedingt erforderlich, mehrere Anwender auf einem Rechner zu haben dann müsste entweder der "Admin" das FDE entsperren bevor die Nutzung erfolgen kann (was z.B. bei einem von Kindern mitbenutzten System durchaus möglich wäre) oder eben jeder Anwender zusätzlich zu seinem PWD die FDE-Passphrase kennen. Bei meinen Passphrases würde allerdings vermutlich jeder eher sich selbst einen Mac kaufen als meinen mitbenutzen zu wollen Würde ich eh nicht zulassen, Menschen sind immer die größten Sicherheitsrisiken.

 

[David X]

Ich denke nicht, dass das hilft, Lion wird auch bestehende Accounts ins FileVault einbinden.

Genau das macht FileVault eben nicht:

 

[David X]

Nun, in meinem Umfeld (Firma wie privat) ist es so: Ein Rechner: Ein Anwender. Ich kenne übrigens keine Firma, in der es am Desktop mehrere Anwender gibt, du?

Ja, jede Menge und ich kenne sogar Firmen in denen mehrere Administratoren einen Server verwalten. Wahnsinn was es alles so gibt, oder?

 

[SilentCry]

Du bist mein Held!

Meiner jetzt auch, dank des Screenshots!

Ja, jede Menge und ich kenne sogar Firmen in denen mehrere Administratoren einen Server verwalten. Wahnsinn was es alles so gibt, oder?

Nun, mein Karmadank bleibt dir, _trotz_ dieser Aussage... weil es dir schon bewusst ist, nehme ich an, dass ich von DESKTOPS gesprochen haben (und ich habe es sogar explizit geschrieben). Am Server ist immer alles anders, ich halte OS X allerdings primär für das weltbeste Desktop-Betriebssystem und dahin gehend bewerte und bespreche ich es auch.

Und daher wiederhole ich die Frage/Feststellung: Kennst du wirklich wahrnehmbar viele Fälle in denen _ein_ Mac von mehreren Desktop-Benutzern verwendet wird? Bei mir zuhause hat jeder sein eigenes MBP, in der Firma hat jeder sein, bei all meinen Freunden und Bekannten hat jedes Familienmitglied seinen eigenen Mac - und da ich schon einige Jahre alt bin halte ich meine Peristase für durchaus repräsentativ.

 

[David X]

Alle Betriebe, die im Schichtbetrieb arbeiten, haben normalerweise einen Desktop pro Arbeitsplatz und nicht pro Mitarbeiter (Krankenhäuser, Druckereien, ISP, Mobilfunknetzbetreiber, Taxi-Zentralen, Telefonzentralen, Telefon-Marketing, …). Und Privat kenne ich alleine bei mir in der Familie 2 Beispiele, wo sich 2 bzw. 4 Leute einen Mac teilen.

 

[SilentCry]

Hm. Stimmt. An Schichtbetriebler habe ich nicht gedacht. Betriebsblind... OK, hast mich überzeugt, dass es das gar nicht so selten gibt.
Privat allerdings kenne ich niemanden; du offenbar schon.
Das Problem bei denen bleibt bestehen. Entweder jeder (!) verwendet elend lange Passwörter oder das schwächste Glied sprengt die Kette.

 

[SilentCry]

Ich weiß nicht wie der aktuelle Stand mit Rainbow-Tables hier ist, aber soweit ich weiß ist nicht umbedingt ein 50 Zeichen Passwort nötig. Ein "normal sicheres" Passwort mit Sonderzeichen / Klein-Großschreibung usw. und 10 - 15 Zeichen sollte doch auch nicht so schnell durch Brute Force zu knacken sein.

Ich habe dazu noch einen Nachtrag.
Auf der von mir verlinkten Webseite findet sich dankenswerterweise eine History:

10.07.2001: Bereitstellung der Webseite mit einer Berechnung von 5 Mio. keys/sec;
...
22.03.2011: Berechnung mit 2096,2 Mio. keys/sec;

In 10 Jahren hat sich die "Brechleistung" (*fg*) also vervierhundertfacht! Das liegt sogar weit über dem Moor'schen Gesetz dass die Leistung alle 1,5 Jahre verdoppelt wird (2hoch6,67 wäre "nur" rund 100-fache Leistung) und zwar wäre das bei 2 hoch x gleich 400 x=8,6. Also die Leistung verdoppelt sich alle 1,16 Jahre also rund alle 14 Monate.

Das lässt sich nun weiter spinnen. In weiteren 10 Jahren ist die Leistung also wieder das 400-fache von heute; was also heute rund 800 Jahre (11 Zeichen) dauert dauert in 10 Jahren nur noch 2 Jahre. Und in 20 Jahren hat sich die Leistung zu heute 20/1,16=17,24 rund ver-155.000-facht. Ein 10-stelliges Passwort ist dann selbst von nur einer Normalo-Maschine in nicht mehr messbarer Zeit zu knacken. Von den Clustern, die da draussen sind (und vermutlich die millionenfache Brechkapazität haben), wollen wir gar nicht reden, von der Notwendigkeit, die nötige Zeit durch 1.000 zu dividieren um einen Zufallstreffer so unwahrscheinlich wie möglich zu machen, auch nicht.

Das ganze ist eigentlich nur ein Plädoyer für lange, sehr lange Passwörter für Dateien, die verschlüsselt werden und einem verschlüsselt entzogen werden können. 15 Zeichen sind in ein paar Jahren ein Hasenpfurz für die Rechner der globalen GeStaSiPo. Und ich möchte sicher gehen, dass erst die Neofaschisten nach den nächsten drei Urknalls meine Daten entschlüsseln können, wenn überhaupt. Nur um dann zu sagen "ach geh, jetzt haben wir eine Fantastillion Jahre lang und über drei Kollapse des Kosmos hinweg diesen verschlüsselten Container gerettet und jetzt ist da gar nichts Interessantes drin." Haha.

Mein Computer ist eine Verlängerung meines Verstandes und meines Gedächtnisses, daher sind meine Daten genau so wie meine Gedanken ein Raum, in dem niemand, und zwar gar niemand, außer mir etwas zu suchen hat. Dabei ist es völlig egal ob ich an Gänseblümchen denke oder die thermonukleare Vernichtung der Welt. Auch das geht niemanden etwas an, wenn ich höchstpersönlich es nicht mitteilen will.

 

[Rastafari]

Es gibt im OS X eine passwd-Datei, die die hashes der Passwörter enthält.

Aus welchem Antiquarium hast du denn das ausgegraben?
/etc/passwd wurde schon zur Zeit von NextStep 2 nicht mehr benutzt.

Ich kenne übrigens keine Firma, in der es am Desktop mehrere Anwender gibt, du?

Davon gibt es massenhaft. (Auch wenn es ziemlich clever ist, hier recht bald zu serverseitig verwalteten Konten hochzurüsten.)

müsste entweder der "Admin" das FDE entsperren bevor die Nutzung erfolgen kann (was z.B. bei einem von Kindern mitbenutzten System durchaus möglich wäre)

Aber das IST doch möglich... (?)

 

[Rastafari]

In 10 Jahren hat sich die "Brechleistung" (*fg*) also vervierhundertfacht! ...
Das lässt sich nun weiter spinnen. In weiteren 10 Jahren ist die Leistung also wieder das 400-fache von heute

Genau das ist *nicht* der Fall.
Die sprunghaft enorme Zunahme der Kapazität ist dem Umstand zuzurechnen, dass aus einem einzigen Rechner das Netz einer sehr engagierten Community wurde. Du brauchst aber für die Zukunft nicht davon ausgehen, dass zu unserem Internet noch hunderte weitere Internets von anderen Planeten dazukommen werden. Ebensowenig steht zu befürchten, dass jedermann bald über eine eigene Rechnerflotte von mehreren hundert Geräten verfügen wird.
Realistisch betrachtet müssen solche Projekte eher mit einem Rückgang der verfügbaren CPU-Zyklen rechnen als mit einem weiteren signifikanten Zuwachs. Genau wie der gesamte Rest der Welt auch müssen die ihren Energiebedarf nämlich bezahlen.

 

[naich]

Es gibt im OS X eine passwd-Datei, die die hashes der Passwörter enthält. Ist das Bootlaufwerk also zugänglich, dann kann man einen Brute Force-Angriff auf diese Datei fahren. Ist das Bootlaifwerk aber durch FDE geschützt, ist auch die passwd-Datei geschützt.

Ja, eben. D.h. du hast unter OSX mit FDE zunächst keinen direkten Zugriff auf die Hashes mehr. Ich bezweifle, das der Login-Bilschirm Millionen von Passworteingaben pro Sekunde akzeptiert...
Ok, aber es gibt sicherlich andere Möglichkeiten, die Keys versuchen zu knacken.

Schau mal hier: KLICK. Der geht von einem aktuellen PC aus. Von _einem_. Ich bin sicher, die Rechenleistung der Organisationen, vor denen man sich als unbescholtener Bürger wirklich fürchten muss, (niemand hat so ein perverses Interesse an den Daten des harmlosesten Menschen als ein Überwachungsstaat) sind um viele Zehnerpotenzen stärker.

Danke für den Link. Eigentlich sagt er genau das aus, was ich ausdrücken will. Leider sind in der letzten Tabelle Sonderzeichen nicht dabei, mit denen erhöhen sich dann die Werte wohl noch mal. Man sieht, das die Dauer für das Knacken exponentiell ansteigt, nur ein Zeichen zu einem 10-Stelligen Passwort dazu, schon ist es deutlich sicherer. Wenn man zu dem Cluster von vielleicht 1000 Rechnern noch einen dazustellt, wächst die Rechenleistung nur linear an.

Angesichts dessen halte ich selbst ein 10-Zeichen-PWD nicht mehr für sicher, wenn man einen systematischen Brute Force-Angriff ermöglicht, das knackt die NeuGeStaSiPo vermutlich in wenigen Monaten.

Möglich. Und bei 11 Zeichen brauchen sie wenige Jahre, bei 12 Zeichen wenige dutzend Jahre, und bei 13 Zeichen nur wenige 100 Jahre, um dein Passwort zu knacken. Was ich damit sagen will: Wozu braucht man 50 Zeichen, wenn eigentlich 15 oder 20 schon ausreichen? Dann lieber inklusive Sonderzeichen und solcherlei Sachen, anstatt nur 50 kleine Buchstaben.
(Dass die Leute mit ihren hallo123-Passwörtern da schnell geknackt werden können, stelle ich ja nicht infrage.)

Die andere Sache ich halt, wozu man seine Daten verschlüsselt:
Für mich als Privatanwender wenn dann hauptsächlich, um bei Diebstahl anderen Personen den Zugriff zu verwehren. Solche andere Personen besitzen sicherlich nicht die größten Cluster, um dein Passwort zu knacken.
Bei hochgeheimen Firmengeheimnissen ist das sicherlich etwas anders, in solchen Situationen wird dann aber halt auch vorausgesetzt, dass man ordentlich lange Passwörter verwendet.

 

[Rastafari]

Ja, eben. D.h. du hast unter OSX mit FDE zunächst keinen direkten Zugriff auf die Hashes mehr. Ich bezweifle, das der Login-Bilschirm Millionen von Passworteingaben pro Sekunde akzeptiert...

Dann klaut man sich eben den CS-Header und attackiert den. Wo soll da jetzt der wesentliche Unterschied bzw Sicherheitsgewinn gegenüber einer herkömmlichen, entwendeten "shadow hash"-Datei sein?

Dann lieber inklusive Sonderzeichen und solcherlei Sachen, anstatt nur 50 kleine Buchstaben.

Wenn eines in Passworte nicht hineingehört, dann sind das Sonderzeichen.
(Und damit meine ich jetzt nicht die "kleinen" Satzzeichen in der klassischen 7-Bit "ASCII" Tafel.)

Bei hochgeheimen Firmengeheimnissen ist das sicherlich etwas anders

Da ist das auch nicht wesentlich anders, denn der Rechner ist nicht der erste Angriffspunkt für einen Industriespion - das ist und bleibt nach wie vor der Mitarbeiter selbst, dem man die Geheimnisse anvertraut hat (oder auch lieber nicht).

 

[smoe]

Wenn eines in Passworte nicht hineingehört, dann sind das Sonderzeichen.
(Und damit meine ich jetzt nicht die "kleinen" Satzzeichen in der klassischen 7-Bit "ASCII" Tafel.)

Warum das?